来源:2023第七届农村中小金融机构科技创新优秀案例评选
获奖单位:陕西农信
荣获奖项:信息安全创新优秀案例
一、项目背景
“十四五”期间,陕西农信紧跟国家战略步伐,积极投身到数字中国、数字陕西建设中,并将数字化转型作为自身发展核心战略。持续加大科技投入,创新构建线上化、数字化、智能化的数字金融服务新模式,努力将自身打造成为陕西省内数字乡村和数字金融的关键一环。在数字化转型中,陕西农信高度重视IT基础支撑平台建设,主动拥抱云变化,以云原生为核心技术底座,打造了一套“分布式+全国产”技术架构的私有云平台。陕西农信广泛应用容器、微服务、DevOps等云原生技术,建设了分布式技术平台,满足了业务快速迭代、资源弹性扩展、数据共享互通、运维自动化的需求,有效助力数字化转型业务快速发展。
云原生技术为陕西农信数字化转型和业务发展带来便利。同时,新技术的引入也带来一些安全风险挑战,主要体现在以下方面:一是容器技术本身特性,其业务资产经常动态变化,容器资产难以有效清点;二是外部容器镜像可能存在木马病毒、组件安全漏洞,针对容器镜像供应链攻击越发流行,缺乏对持续对容器进行漏洞监测的手段;三是缺少对容器进行实时入侵检测的防护能力,容器可能存在逃逸问题,影响到承载容器的底层基础设施的安全稳定;四是云原生环境下,安全组件缺失或配置不规范导致的安全风险日益突出。
为有效应对云原生技术带来的安全挑战,2023年陕西农信结合实际情况和安全管理要求,依托已有的主机入侵检测系统,主动弥补云原生架构下安全防护短板,提出建设一套云原生环境下的安全防护平台。平台采用轻量化分布式部署架构,深度对接云原生运行平台,将云原生资产统一纳管,及时发现主机和容器安全脆弱性,具备入侵检测、病毒查杀等实时安全检测和响应能力,结合安全配置基线核查,将云原生安全贯穿于在预测、防御、检测和响应等环节。平台上线后,有效抵御了外部各类安全攻击,提升了云平台整体安全防护能力。
二、项目方案
(一)平台功能架构
平台基于云原生安全成熟度模型,遵循安全左移、持续监控响应和可观测性等原则,在主机安全防护基础之上,重点提升云原生安全检测与防护能力。平台围绕云原生基础设施、镜像管理、容器运行时和组件应用等多个方面,提供资产清点、集群安全、镜像安全、容器入侵检测、基线核查等安全能力,实现了云原生安全预测、防御、检测和响应的安全闭环。平台功能架构如下:
(二)平台功能
1、安全资产清点
通过Agent代理技术,有效覆盖物理机、虚拟机、K8S、容器等计算资源,从安全角度对POD、容器、镜像、进程、端口、WEB服务、软件应用、中间件等资产进行持续性、自动化采集,全方位实时展示更新资产内容和状态,便于掌握云平台安全资产全貌。
2、镜像安全检测
在镜像的构建、分发、运行等生命周期中,从授信镜像、安全补丁、高危漏洞、木马病毒、Webshell和敏感信息等方面对镜像文件进行安全扫描检测,检测发现高中危应用组件和弱口令漏洞,有效阻止风险镜像参与后续运行,有效防范镜像供应链攻击风险。
3、容器入侵监测
通过多锚点对容器内的进程、网络、文件行为进行检测,持续监测容器逃逸、暴力破解、反弹Shell、Web后门、恶意命令执行、内存后门、本地提权等容器攻击行为,实时、准确地感知入侵事件,对失陷容器进行一键隔离。
4、安全合规基线
参考业内云原生安全配置最佳实践,形成适应自身云平台安全基线。通过一键自动化安全合规基线检测,发现由于环境配置不当而引入特权容器、敏感目录挂载等安全问题,并形成可视化基线检查结果和修复建议。
(三)部署架构
平台由Server服务器、超融合Agent和分布式代理三部分组成。Server服务器主要包括服务端、Scanner-worker、Cluster-link、Hiveaudit和Jenkins插件等;服务端负责对汇总数据进行统一的挖掘分析和处理展示;Scanner-worker负责拉取仓库镜像,并进行镜像扫描;Cluster-link集群连接组件主要负责K8S集群资产清点、集群管理、Agent容器管理工作;Jenkins插件用作构建阶段镜像的扫描代理;Hiveaudit是K8S集群日志审计模块;组件均为分布式部署,支持根据业务需求灵活扩展。
超融合Agent部署在运行容器的宿主机上,其集成了云原生安全和主机安全双重检测能力,负责对所属主机及容器的资产清点、节点风险扫描、镜像漏洞扫描、入侵监测等工作,同时解决容器及其宿主机中存在的安全问题。分布式代理为承载sock5代理功能的主机,用于为不同网络环境下的主机和云平台提供Agent与Server服务器之间的连接服务。
三、创新点
(一)全方位安全资产梳理,及时发现问题资产
平台利用Agent探针技术,从“白盒”视角全方位盘点主机、POD、容器、镜像、Registry等资产,关联资产间访问调用关系,相比网络扫描和被动流量检测等“黑盒”资产探测方式,Agent探针收集的资产更加全面准确,有效消除资产盲点。通过特征比对、脚本运行、条件触发等多种检测手段,自动发现主机和容器资产存在的安全补丁、系统漏洞、弱口令和配置缺陷等问题,实现安全风险的自动化和智能化检测,时刻掌握安全资产变化,清除安全风险隐患。
(二)一体化安全风险监测,实时防范入侵攻击
以ATT&CK攻击模型为参考,结合IoC、大数据、机器学习等分析技术,对攻击路径的每个环节进行深入监控,全面覆盖宿主机、容器集群、镜像、容器应用等多个节点,实时检测容器运行时安全风险和攻击入侵事件,做到了云原生安全的全方位、一体化安全风险监测。
(三)内存马攻击检测
随着攻防两端对抗的深入,采用无文件攻击手法将木马文件注入内存的攻击越发流行,此类攻击具有极强的隐蔽性,传统检测手段难以通过扫描文件的方式发现内存马。平台创新性在JAVA进程中注入恶意代码检测程序,对敏感JAVA应用服务器接口调用进行监控,可有效检测发现内存Webshell、Shellcode和加载动态链接库等多种内存马攻击行为,极大提升了防守方安全防护能力。
(四)AI引擎病毒查杀
为有效解决高级病毒无法检测的问题,平台采用分布式设计和多病毒安全引擎,结合动态检测和AI推理引擎技术,可有效识别病毒变形和混淆问题,将病毒木马等价还原成最简化特征形式,及时发现木马中存在的可疑内容,极大提高对于木马病毒的检测能力。
四、技术实现特点
(一)落地安全左移,降低安全开发成本
践行“安全左移”理念,在容器镜像构建、分发、运行等生命周期阶段进行安全管控,提前消除安全风险。在构建阶段,检查IaC文件和生成镜像的安全性,发现潜在的补丁、漏洞、病毒、敏感信息和非法镜像等;在测试分发阶段,进行合规基线检查,消除不安全配置;在上线阶段,对生产环境的编排文件和容器镜像再次进行安全检查和一致性校验,排除敏感信息和不合规配置。
(二)融合轻量化部署,全面适配国产化
平台将主动安全能力集成于唯一安全探针Agent,自适应传统主机和容器化运行环境。对于容器集群仅在所有node节点安装Agent即可,后续容器上线和扩容无需安装,具备高效敏捷和弹性,自动适配云原生场景。Agent探针采用轻量化部署,CPU占用率小于10%,内存占用小于100M。同时,积极响应国家国产化战略,Agent完美适配麒麟、统信等国产操作系统,为后续国产化改造推广提供了基础条件。
(三)动态安全检测,准确感知入侵威胁
平台基于恶意行为模型,可有效检测远程漏洞利用、反弹Shell、高危命令调用、内存马攻击、内网代理穿透、K8S异常调用、容器逃逸、文件篡改等多种容器运行态攻击行为。通过多锚点的行为检测能力,对容器进程行为、文件行为、网络行为进行监控学习,建立容器行为模型,分析异常偏离行为,发现未知入侵威胁,准确感知入侵事件,并将告警自动关联分析,提高主动溯源能力,对容器集群进行有效防护。
五、项目过程管理
本项目于2022年4月启动,2023年6月正式投入运行,项目建设周期为14个月,经历了需求分析、功能测试、部署实施、正式上线、持续运营等5个阶段。项目具体建设过程如下:
(一)需求分析阶段
时间周期:2022年4月至5月
工作内容:主要进行前期预研,根据本单位网络安全建设现状完成需求分析与功能的确认,并对系统技术架构、部署模式进行研究。
(二)功能测试阶段
时间周期:2022年6月至2023年3月
工作内容:结合前期预研形成的解决方案对平台开展功能测试,验证各功能模块与实际需求的符合情况,形成测试结论、功能测试报告。
(三)部署实施阶段
时间周期:2023年4月
工作内容:根据实际网络结构和平台部署模式形成最佳实施方案,完成镜像仓库对接、容器集群扫描组件安装,并逐步对非集群容器节点进行Agent安装,达到100%覆盖率。
(四)正式上线阶段
时间周期:2023年5月
工作内容:平台正式上线运行,统计资产清点结果和风险扫描详情。对生产问题扫描结果进行分析,人工研判减小误报率。协调开发和运维团队对已证实的业务系统问题进行修复。并根据研判结果对误报告警进行策略优化。
(五)持续运营阶段
时间周期:2023年6月起
工作内容:上线后开始将平台纳入常态化安全运营流程中。基于平台在预测风险、精准感知威胁、资产清点等方便的优异能力,通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应。定期向运维团队反馈新增业务系统脆弱性以进行整改,消除安全威胁。
六、运营情况
平台上线后,已接入近百个容器集群节点、4000多个代码仓库镜像、2000多个节点镜像,全面覆盖陕西农信统一C端、远程银行、智能客服和交易中台等多个重要业务系统。防护平台累计检测出容器应用漏洞300余多、弱口令150多个、不合规配置220余个、内网代理穿透2起、内存马攻击1次。平台上线后,发现了大量潜在安全隐患,在实战攻防对抗中检测阻断了多起攻击,有效提升了整体安全防护能力,保障了业务系统安全稳定运行。
七、项目成效
(一)云原生资产全面收集,持续入侵检测响应
自动化构建云原生安全资产信息,时刻掌握容器资产变化,将容器环境安全由“看不见、摸不着”的局面,扭转为“可量化、可评估”,大幅度消除了云原生安全隐患,提升了安全可控能力。通过持续监控分析,及时发现异常风险和入侵,准确感知入侵事件并提供对应的响应手段。
(二)安全左移,业务上线即安全
按照“安全左移”管理思想,将镜像容器安全管控前移,与现有安全开发流程相结合,将安全卡点内置到DevOps流程中,设立严格的准入与准出规则,提前发现缓释被攻击和潜在运行风险,确保业务上线即安全。
(三)安全体系联动,赋能安全运营
云原生安全平台与态势感知、威胁情报、自动阻断等其他现有安全系统进行联动对接,相互配合,构建完成立体纵深安全防护网。为安全人员日常运营提供了便利,可快速定位漏洞影响范围,确认风险资产,有效提升安全检测准确率。
八、经验总结
陕西农信通过建设基于云原生安全体系平台,将云原生资产统一纳管,实现了容器安全预测、防御、检测和响应的安全闭环,有效解决了云原生环境下面临的安全痛点,提升了容器安全防护水平。平台覆盖了容器全生命周期,防御能力,实施部署简单,对其他中小银行机构云原生安全平台建设具有积极的参考意义。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.